ハッカーがサーバーを標的にしてランサムウェアを拡散するために使用する、パッチが適用されていない VMWare の脆弱性

VMWare の ESXi サーバーに存在するパッチが適用されていないソフトウェア バグが、ランサムウェアを世界中に拡散する目的でハッカーによって悪用されています。

パッチが適用されていない VMWare サーバーがハッカーに悪用される

VMWare の ESXi サーバーに存在する 2 年前のソフトウェアの脆弱性が、広範なハッキング キャンペーンの標的になっています。攻撃の目的は、新しいランサムウェアの亜種である ESXiArgs を展開することです。何百もの組織が影響を受けたと推定されています。

フランスのコンピューター緊急対応チーム (CERT) は 2 月 3 日に声明を発表し、攻撃の性質について議論しました。CERT の投稿では、キャンペーンは「セキュリティ パッチで十分に迅速に更新されていない ESXi ハイパーバイザーの露出を利用しているようだ」と書かれています。リモートでの任意のコードの悪用」

組織は、このランサムウェア操作の犠牲にならないように、ハイパーバイザーの脆弱性にパッチを適用するよう求められています。ただし、CERT は前述の声明で、「製品またはソフトウェアの更新は慎重に実行する必要があるデリケートな操作であり」、「可能な限りテストを実行することをお勧めします」と読者に思い出させました。

VMWareも状況について語っています

VMWare は、CERT やその他のさまざまなエンティティとともに、この世界的な攻撃に関する投稿も公開しています。VMWareのアドバイザリでは、サーバーの脆弱性 (CVE-2021-21974 として知られている) により、悪意のある攻撃者が「OpenSLP サービスでヒープ オーバーフローの問題を引き起こし、リモートでコードが実行される」可能性があると書かれています。

VMWare はまた、2021 年 2 月にこの脆弱性に対するパッチを発行したことにも言及しました。これは、悪意のあるオペレーターの攻撃ベクトルを遮断し、標的にされないようにするために使用できます。

この攻撃は国営ではないようです

このキャンペーンの攻撃者の身元はまだわかっていませんが、イタリアの国家サイバーセキュリティ庁 (ACN) は、攻撃が国家機関によって実行されたことを示唆する証拠は現在のところないと述べています (ロイターの報告によると)。フランス、米国、ドイツ、カナダの組織だけでなく、イタリアのさまざまな組織がこの攻撃の影響を受けました。

BlackCat、Agenda、Nokoyawa などのさまざまなランサムウェア ファミリのソフトウェアが検討されている中で、このキャンペーンの責任者についての提案がなされています。オペレーターの身元が明らかになるかどうかは、時が経てばわかります。

ランサムウェア攻撃は引き続き大きなリスクをもたらします

年月が経つにつれ、ますます多くの組織がランサムウェア攻撃の犠牲になっています。このモードのサイバー犯罪は、悪意のある攻撃者の間で非常に人気があり、このグローバルな VMWare ハッキングは、その結果がどれほど広範囲に及ぶ可能性があるかを示しています。